-
Diese Anmeldung nimmt hierin durch
Bezugnahme die mitanhängige
Patentanmeldung, Anwaltsaktenzeichen HP-200209593-1 auf, mit dem
Titel „Ein
System zum Schützen
der Sicherheit eines bereitstellbaren Netzwerks" auf, die gleichzeitig mit dieser eingereicht
und an den selben Bevollmächtigten der
vorliegenden Erfindung erteilt wurde.
-
Die vorliegende Erfindung bezieht
sich auf das Gebiet von Computernetzwerksicherheit. Genauer gesagt
bezieht sich die vorliegende Erfindung auf ein Verfahren und eine
Architektur zum Schützen der
Sicherheit von Eindringungserfassungssensoren in einem provisorischen
Hilfsprogrammdatenzentrum.
-
Die moderne Vernetzung liefert ständig Kommunikations-
und Informations-Zugriffs-Erweiterungen und -Verbesserungen. Das
anhaltende Wachstum von Netzwerk-Systemen und -Technik scheint grenzenlos
und die Geschwindigkeit von vernetzten Kommunikationen hat fast
jedem menschlichem Bestreben Vorteile gebracht.
-
Neuere Trends bei der Informationstechnik haben
ergeben, daß sich
große
Unternehmen und andere Benutzer hin zu einem neuen Musterbeispiel der
Netzwerkverwendung bewegen, dem bereitstellbaren Hilfsprogrammdatenzentrum
(UDC; UDC = Utility Data Center). Ein bereitstellbares Datenzentrum
ermöglicht
eine Zentralisierung von Informationstechnikdiensten (IT-Diensten)
und unternehmensweit und sogar internetweit Zugriff auf spezialisierte
Daten und Funktionen. Die verschiedenen Schritte zum Rezentralisieren
von IT-Systemen aller Art wird teilweise durch Mängel an qualifiziertem IT-Personal
und durch die intrinsischen Unzulänglichkeiten von verteilten
Systemen getrieben. Es ist bedeu tend, daß viele IT-Verwalter zu einer
kleineren Anzahl von großen
Datenzentren migrieren. Ermöglicht
durch eine reichlich vorhandene und relativ kostengünstige Netzwerkbandbreite
können
IT-Dienste nun global an Benutzer verteilt werden. Der Bedarf zum
Verschachteln von Serverseitentechnik in der Nähe der Klientenarbeitsstation
nimmt ab, was zu dieser dramatischen Änderung bei der IT-Architektur geführt hat.
-
Diese Rezentralisierung erfordert
eine größere Elastizität, Zuverlässigkeit
und Sicherheit, da ein Ausfall von gemeinschaftlich verwendeten
Ressourcen oder ein Verlust von kritischen Daten ein Unternehmen
zu einem großen
Ausmaß beeinträchtigen
kann, das ein bereitstellbares Datenzentrum verwendet. Gleichzeitig
jedoch können
konsolidierte provisorische Datenzentren einfacher eingerichtet werden,
um einzelne Fehlerpunkte zu beseitigen.
-
Ein weiterer Trend ist die wachsende
Bedeutung von Dienstanbietern dritter Parteien. Netzwerkunternehmen
finden es vorteilhaft, sich an Dienstanbieter zu wenden, anstelle
die Kosten interner Entwicklung, Gliederung und Beibehaltung ihrer
eigenen hausinternen Systeme zu tragen. In Bereichen, wie z. B.
der globalen Netzwerkverarbeitung, dominieren Dienstanbieter beim
Bereitstellen einer Handelsressource, die Unternehmen nie individuell
entwickeln könnten.
-
Speicherungsdienstanbieter ermöglichen
es Unternehmen, Daten bequem zwischenzuspeichern. Ein kleines aber
wachsendes Kontingent an Anwendungsdienstanbietern (ASPs; ASP =
Application Service Provider) ist nun in der Lage, Unternehmenssoftwaresysteme
zu betreiben. IT-Dienstanbieter nutzen die Möglichkeit, über Unternehmen zu konsolidieren, was
es denselben ermöglicht, äußerst konkurrenzfähig zu internen
IT-Organisationen zu sein.
-
Die Systemverwaltungstools, die verfügbar sind,
um die resultierenden notwendigerweise komplexen Netzwerksysteme zu
betreiben und zu sichern, werden ebenfalls entwickelt. Eine konstante, dynamische
Neubereitstellung von Ressourcen, um sich an wechselnde Klienten
und Klientenbedürfnisse
anzupassen, hängt
von einer starken IT-Ressourcen-Verwaltungsbasis
ab.
-
Sogar noch mehr als frühere verteilte
Netzwerke unterliegen bereitstellbare Datenzentrumsnetzwerke einem
möglichen
Sicherheitsfehler und sogar einem Angriff durch die zahlreichen
Kommunikationsverbindungen, die solche Systeme mit sich bringen.
Da eine notwendige Kommunikation innerhalb und zwischen Ressourcen
besteht, die innerhalb des bereitstellbaren Datenzentrums enthalten sind,
sowie eine Kommunikation mit Benutzern außerhalb des Netzwerks, sind
die möglichen
Wege eines Sicherheitsausfalls zahlreich.
-
Zusätzlich zu dem „normalen" Hackerangriff können Sicherheitsverletzungen
aus Dingen bestehen, wie z. B. dem nichtautorisierten Eintritt in
einen Abschnitt einer Datenbank durch einen anderweitig autorisierten
Benutzer oder der nicht autorisierten Verwendung einer Anwendung,
die durch das Zentrum verwaltet wird. Ein Beispiel davon könnte die Verwendung
durch eine fremde Technikeinrichtung einer Supercomputer-Rechenfluid-Dynamikeinrichtung
sein, möglicherweise
gesperrt durch ein Technikaustauschgesetz, bei dem die Verwendung
anderer Abschnitte desselben bereitstellbaren Datenzentrums durch
die fremde Einrichtung legitim und erwünscht ist.
-
Ein anderes Beispiel umfaßt einen
Fall, in dem konkurrierende Klienten legitim durch das UDC bedient
werden, die einen Teil der verfügbaren
Ressourcen gemeinschaftlich verwenden, wie z. B. eine Marketingdatenbank.
Die selben zwei Klienten können
ferner das UDC zum sicheren Archivieren von proprietären Daten
verwenden, von denen keiner möchte,
daß der
andere darauf zugreift. Ferner könnte
das Verwaltungssystem eines bereitstellbaren Datenzentrums selbst
das Ziel einer fokussierten Eindringung sein, deren Ziel das Schwächen der
Verwaltungsstruktur sein kann, um andere Eindringungen zu ermöglichen.
-
Während
andere Netzwerkeindringungs-Erfassungssysteme (NIDS; NIDS = Network
Intrusion Detection System) vorliegen, um die Sicherheit von UDCs
zu unterstützen,
besteht wenig im Bereich von Systemen, die das NIDS selbst schützen. Ein
NIDS ist ein mögliches
Ziel von feindlichen Angriffen, wie z. B.: Versuche, Zugriff auf
das NIDS-System zu gewinnen, durch gefährden von Netzwerkdiensten,
wie z. B. einem Web-Server, SNMP (Simple Network Management Protocol)
oder E-Mail; Versuche, sich in die Wurzel- oder Administrator-Benutzer
einzuloggen; Versuche, die Datei- oder Verzeichnis-Erlaubnis zu ändern, Dateien
auf dem NIDS-Sensor
oder -Verwalter zu lesen oder zu modifizieren, möglicherweise, um Beweismaterial
einer Eindringung zu löschen; nicht
autorisierte Versuche, Dienste zu starten, die nicht auf den NIDS-Sensoren
laufen sollten.
-
Eine bekannte IDS-Verriegelungssoftware (IDS
= Intrusion Detection System) hat sich die IDS-Systemsicherheit
nicht umfassend betrachtet. Wenn Produkte die IDS-Sicherheit betrachtet
haben, neigten sie dazu, nur Softwarekomponenten zu schützen, die
direkt auf die IDS-Software bezogen waren: Der IDS-System-Registrierungseintrag
bei Microsoft Windows Systemen und die Datei- und Verzeichnis-Sicherheit
für die
IDS-Dateien selbst.
-
Was nun benötigt wird ist eine Methode
zum Bereitstellen von Sicherheit für Eindringungserfassungssystem-Sensoren
(IDS-Sensoren) in dem bereitstellbaren Hilfsprogrammdatenzentrum
(UDC), derart, daß die
IDS-Komponenten des Datenzentrums vor Eindringungen geschützt werden
können, die
entweder von einer externen Quelle stammen, wie z. B. einem der Öffentlichkeit
zugewandten Internet/einem virtuellen privaten Netzwerk (VPN), Ressourcen,
die durch das Datenzentrum bereitgestellt werden, oder Systemen
von innerhalb eines weniger vertrauenswürdigen Teils der Verwaltungsinfrastruktur
des Datenzentrums.
-
Es ist die Aufgabe der vorliegenden
Erfindung, ein Verfahren und ein System zum Bereitstellen von Sicherheit
für ein
Eindringungserfassungssystem in einem bereitstellbaren Netzwerk
und ein Eindringungserfassungssystem mit verbesserten Charakteristika
zu schaffen.
-
Diese Aufgabe wird durch ein Verfahren
gemäß Anspruch
1, ein System gemäß Anspruch
21 und ein Eindringerfassungssystem gemäß Anspruch 40 gelöst.
-
Entsprechend schaffen Ausführungsbeispiele
der vorliegenden Erfindung eine Methode zum Bereitstellen von Sicherheit
für die
Eindringerfassungssystem-Sensoren (IDS-Sensoren) in einem bereitstellbaren
(provisionable) Datenzentrum, hierin nachfolgend genannt ein Hilfsprogrammdatenzentrum (UDC;
UDC = Utility Data Center), derart, daß Datenkommunikationsverkehr
auf einem Netzwerksegment überwacht
wird, oder Computersystemaktivität überwacht
wird, oder sowohl System- als auch Netzwerk-Aktivität überwacht
werden und Warnungen erzeugt werden, wenn verdächtige Ereignisse erfaßt werden.
Während
die IDS-Sensoren das Datenzentrum schützen, schützen Ausführungsbeispiele der vorliegenden
Erfindung die Sensoren vor Angreifern, die nicht möchten, daß ihre verdächtige Netzwerkaktivität erfaßt wird;
eine Aktivität,
die zu einem Kompromiß aus
System- oder Netzwerk-Vertraulichkeit, -Integrität oder -Verfügbarkeit
führen
könnte.
-
Ein Verfahren zum Bereitstellen von
Sicherheit für
ein Eindringungserfassungssystem in einem bereitstellbaren Netzwerk,
wobei das Verfahren das Bewerten der Systemsicherheit des bereitstellbaren Netzwerks
und das Anwenden einer Systemverriegelung in dem bereitstellbaren
Netzwerk gemäß Ergebnissen
der Bewertung aufweist.
-
Dieses und andere Ziele und Vorteile
der vorliegenden Erfindung werden für Fachleute auf dem Gebiet
offensichtlich, nachdem die nachfolgende detaillierte Beschreibung
der bevorzugten Ausführungsbeispiele
gelesen wurde, die in den verschiedenen Zeichnungsfiguren dargestellt
sind.
-
Bevorzugte Ausführungsbeispiele der vorliegenden
Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden
Zeichnungen näher
erläutert.
Es zeigen:
-
1 ein
Hilfsprogrammdatenzentrum gemäß Ausführungsbeispielen
der vorliegenden Erfindung;
-
2 ein
Blockflußdiagramm
gemäß Ausführungsbeispielen
der vorliegenden Erfindung; und
-
3 eine
Blockdiagrammübersicht
eines generischen Computersystems gemäß Ausführungsbeispielen der vorliegenden
Erfindung.
-
Die vorangehenden Beschreibungen
von spezifischen Ausführungsbeispielen
der vorliegenden Erfindung wurden zu Zwecken der Darstellung und
Beschreibung vorgelegt. Sie sollen nicht erschöpfend sein und die Erfindung
auf die genauen offenbarten Formen einschränken, und offensichtlich sind
viele Modifikationen und Variationen im Hinblick auf die obigen
Lehren möglich.
Die Ausführungsbeispiele
wurden ausgewählt
und beschrieben, um die Prinzipien der Erfindung und ihre praktische
Anwendung bestmöglich
zu beschreiben, um es dadurch anderen Fachleuten auf dem Gebiet
zu ermöglichen, die
Erfindung und verschiedene Ausführungsbeispiele
mit verschiedenen Modifikationen bestmöglich zu verwenden, wie sie
für die
bestimmte gedachte Verwendung geeignet sind. Der Schutzerbereich
der Erfindung soll durch die hier angefügten Ansprüche und ihre Entsprechungen
definiert sein.
-
Diese Anmeldung lagert hierin durch
Bezugnahme die mitanhängige
Patentanmeldung Anwaltsaktenzeichen HP-200209593-1 ein, mit dem
Titel „Ein
System zum Schützen
der Sicherheit eines bereitstellbaren Netzwerks" ein, die gleichzeitig mit der vorliegenden
eingereicht und dem selben Bevollmächtigten der vorliegenden Erfindung
zugeteilt wurde.
-
Die Operation eines Ausführungsbeispiels der
vorliegenden Erfindung ist in 1 in
Blockflußform
dargestellt. Es wird hier darauf hingewiesen, daß Ausführungsbeispiele der vorliegenden
Erfindung in der flexiblen und sich dynamisch ändernden Umgebung des bereitstellbaren
Netzwerks oder des Hilfsprogrammdatenzentrum (UDC) arbeiten, das nachfolgend
in 2 dargestellt ist. Das Verfahren 100 beginnt
mit dem Bewerten der Systemsicherheit eines bereitstellbaren Netzwerks,
wie z. B. eines UDC 110. Ansprechend auf die Ergebnisse
der Bewertung wird bei 120 eine Systemverriegelung an das bereitstellbare
Netzwerk angewendet. Die angewendete Verriegelung kann eine Vielzahl
von Funktionen aufweisen, die einen Eindringling von einem Zugriff
auf die IDS-Komponenten ausschließen, wie z. B. Sensoren und
Verwaltungsfunktionen. Die Verriegelung kann z. B. Elemente umfassen,
wie das Erfordern starker Paßwörter, das
Sichern von Systemverzeichnissen und Dateigenehmigungen, das Schließen von
Datenkommunikationstoren und das Verdecken des Administratoraccounts.
-
Es wird hier darauf hingewiesen,
daß die Schritte
121 bis 130 bei diesem Ausführungsbeispiel die
Schritte aufweisen, die zum Verriegeln eines IDS-Systems unternommen
werden. Bei Schritt 121 werden die unbenutzten Abschnitte des IDS-Systems in dem UDC,
d. h. Ressourcen, die nicht spezifisch und zweckmäßig für die Verwendung
des IDS-Systems bestimmt sind, deaktiviert. Die tatsächliche
Einrichtung der Deaktivierung hängt
von der spezifischen Ressource ab, die deaktiviert wird, und kann
das Deaktivieren der Kommunikationsverbindungen zu der spezifischen
Ressource oder das Ab schalten von Anwendungsprozessen umfassen,
die auf dem IDS-System
laufen.
-
Bei Schritt 122 werden kritische
Dateien und Verzeichnisse geschützt.
Aufgrund der dynamischen Eigenschaft von Dateien und Verzeichnissen
bei der Verwaltung eines großen
und komplexen Netzwerks, wie z. B. eines UDC, müssen dieselben für einen
legitimen Zugriff in Betrieb bleiben. Dieser Schritt kann das Ändern des
aktuellen Besitzes von spezifischen Dateien oder das Ändern von
Kommunikationswegen zu und von den kritischen Dateien und Verzeichnissen
umfassen.
-
Bei Schritt 123 wird die geeignete
verwaltungstechnische Anmeldung deaktiviert, während das System in Betrieb
ist. Da der Eintritt eines üblichen
Hackers in ein System die Emulation des legitimen Systemadministrators
ist, ist der normale Eintritt des Administrators insbesondere anfällig für einen Angriff.
Dieser Schritt bei einer Verriegelungsanwendung kann verhindern,
daß ein
Weg ausgenutzt wird, durch Verhindern aller Eintritte mit der Anmeldung des
Administrators zu bestimmten Zeiten oder während bestimmter Teile der
Operation des UDC. Es wird hier darauf hingewiesen, daß die administrative Benutzeranmeldung
als „Administrator" oder „Wurzel" bei zwei bekannten
Computerbetriebssystemen bekannt ist.
-
Andere Funktionen der Anwendung einer Systemverriegelung,
die von den spezifischen Operationen und von dem Grundelement des
spezifischen UDC abhängig
sind, werden bei Schritt 130 implementiert. Diese können folgende
umfassen, sind jedoch nicht auf diese beschränkt: Deaktivieren von Änderungen
an Systemregistrierungseinträgen,
die kritisch für
das Betriebssystem und die IDS-Software in einem Betriebssystem
sind, das eine Systemregistrierung verwendet, Deaktivieren von Kommunikationen
an ausgewählten
TCP- und UDP-Toren
in dem IDS-Verwaltungssystem, das die IDS-Sensoren steuert, Ändern der „Gemeinschaftszeichenfolge" auf einen nichtöffentlichen
Wert, wenn einfache Netzwerkverwaltungs protokolldienste (SNMP-Dienste)
erforderlich sind, Erfordern, daß alle Benutzer ein gültiges Paßwort haben,
das regelmäßig und
häufig
geändert wird,
und andere Funktionen, die durch die betriebstechnischen Eigenschaften
des UDC, seiner Ressourcen und Klienten getrieben werden.
-
Ausführungsbeispiele der vorliegenden
Erfindung arbeiten unterschiedlich, abhängig davon, ob das IDS, an
das ein Ausführungsbeispiel
angewendet wird, ein Hosteindringungserfassungssystem (HIDS) oder
ein Netzwerkeindringungserfassungssystem (NIDS) ist. Für einen
HIDS-Schutz konzentriert sich die Anwendung einer Teilsystemverriegelung
auf Nicht-Netzwerkfunktionen,
wie z. B. Datei- und Verzeichnis-Sicherheit,
Benutzernamen und Paßwörter für die HIDS-Benutzer und Verriegelung für die Systemverzeichniseinträge bei dem
anwendbaren Betriebssystem.
-
Wenn weitere Bewertungen oder Neubewertungen
erforderlich sind, 140, beginnt das Verfahren bei 110 neu. Wenn
keine Bewertungen mehr erforderlich sind, wird dieses Ausführungsbeispiel
der vorliegenden Erfindung bei 199 angehalten.
-
Ausführungsbeispiele der vorliegenden
Erfindung arbeiten in der flexiblen und sich dynamisch ändernden
Umgebung des bereitstellbaren Netzwerk- oder Hilfsprogramm-Datenzentrums
(UDC). 2 stellt ein einsetzbares Netzwerkeindringungserfassungssystem 212 mit
Sonden in einem typischen bereitstellbaren Hilfsprogrammdatenzentrum dar.
Ein bereitstellbares Netzwerk- oder Hilfsprogramm-Datenzentrum (UDC) 200 ist
gezeigt, begrenzt durch eine virtuelle Sicherheitsgrenze 250. Die
Grenze 250 ist hier nur gezeigt, um das Darstellen der
hierin vorgelegten Konzepte zu unterstützen. Bei Implementierungen
von Ausführungsbeispielen der
vorliegenden Erfindung kann sich die virtuelle Grenze 250 logisch
erstrecken, um Elemente des UDC zu umfassen, die physisch auf einem
anderen Kontinent als andere Elemente angeordnet sind.
-
Ein typisches UDC 200 weist
ein lokales Betriebszentrums-Netz
(LAN) 208, eine Datenzentrum-Hilfsprogrammsteuerungs-LAN 201 und
Ressourcenpools 206 auf. Es wird hier darauf hingewiesen,
daß UDCs
durch ihre Eigenschaft in ihrer Zusammensetzung flexibel sind, eine
beliebige Anzahl und einen beliebigen Typ von Vorrichtungen und
Systemen aufweisen. Sie erhalten ihre Nützlichkeit aus ihrer Flexibilität.
-
Bei dieser Darstellung kommuniziert
ein typisches UDC 200 mit der Außenwelt über das Internet 220 und
ein virtuelles privates Netzwerk (VPN) 221. Die Kommunikationsverbindungen,
die diese Kommunikation ermöglichen,
werden durch eine Firewall bzw. Brandmauer 210 geschützt. Die
Firewall 200 ist gezeigt, um ein Konzept darzustellen,
das kein bestimmtes Verfahren oder System des Eindringschutzes anzeigen
soll. Viele Typen von Hardware- und Software-Firewalls sind in der
Technik bekannt und die Firewall 210 kann eines oder beides
sein.
-
Es wird darauf hingewiesen, daß bei einem typischen
UDC 200 drei „Vertrauensdomänen" vorliegen; LANs
oder Teilsysteme, die durch unterschiedliche Ebenen der Systemverwaltung
zugreifbar sind und betrieben werden, wobei jede derselben durch Ausführungsbeispiele
der vorliegenden Erfindung geschützt
wird. Die Bedeutung der Unterscheidung bei der Vertrauensebene,
die an jede Vertrauensdomäne
angebracht ist, wird bei der nachfolgenden Erörterung deutlicher. Die Ebene
des Vertrauens kann bei der Betriebsumgebung der Ausführungsbeispiele der
vorliegenden Erfindung in einer Vertrauenshierarchie eingerichtet
sein.
-
Die Firewall 210 trennt
eine Gesamtvertrauensdomäne,
das UDC, von der Außenwelt,
die durch das Internet und das virtuelle private Netzwerk (VPN) 220 angezeigt
ist. Das Betriebszentrum-LAN (OC-LAN) 205 weist eine interne
Vertrauensdomäne auf.
In einem OC-LAN 205 sind Verwalter-von-Verwaltern-Server (MoM-Server; MoM =
Manager-of-Managers)
209, Netzwerkeindringungserfassungssysteme
(NIDS) 212, NIDS-Verwalter 211 und eine Mehrfachsegmentsonde 215 umfaßt. Es wird darauf
hingewiesen, daß obwohl
das NIDS 212, der NIDS-Verwalter 211 und die Mehrfachsegmentsonde 215 als
computerähnliche
Vorrichtungen dargestellt sind, ihr physisches Vorhandensein nicht
auf eine bestimmte Vorrichtung beschränkt ist. Jedes derselben kann
als eine alleinstehende Vorrichtung existieren oder kann als eine
Software implementiert sein, die in einer physischen Vorrichtung
oder einem Server vorliegt. Eindringungserfassungssonden 225 sind
als Aktionen dargestellt und nicht als eine Form von Vorrichtung.
-
Das Herz eines UDC ist das Datenzentrums-Hilfsprogrammsteuerung-(UC)-LAN,
201. Dieses LAN stellt eine weitere, höhere, interne Vertrauensdomäne dar.
Das UC-LAN kommuniziert durch das OC-LAN 205 und ist üblicherweise
von demselben durch verschiedene Formen von Firewalls 202 getrennt.
Das UC-LAN 201 kann verschiedene Zahlen von Ressourcenverwaltern
aufweisen, wie bei 203 dargestellt ist. Die Flexibilität, die dem
UDC-Konzept eigen ist, kann zu vielen Kombinationen von Ressourcen
und Ressourcenverwaltern führen.
Ressourcenverwalter 203 sind die übliche Schnittstelle mit den
verschiedenen Pools aus Ressourcen 206, die mit denselben
durch eine Art von Schaltnetzwerk kommunizieren, wie durch den Reihe-1-Schalter (bzw.
Tier-1-Switch) bei
208 angezeigt ist.
-
Ressourcenpools 206 sind
unbeschränkt
flexibel und weisen eine vorstellbare Kombination von Datenservern,
Rechenfähigkeit,
Lastausgleichsservern oder anderen denkbaren Vorrichtungen oder Fähigkeiten
auf. Aufgrund der möglichen
Vielzahl von Ressourcen, die in Ressourcenpools 206 umfaßt sein
können,
sind dieselben von dem UC-LAN 201 durch Firewalls 204 getrennt,
die wie UC-Firewalls 202 Software oder Hardware oder beides
in vielen Kombinationen sein können.
-
Das NIDS 212 kommuniziert
direkt mit dem UC-LAN 205. Eindringungserfassungssonden 225 werden
in dem UDC 200 derart eingesetzt, daß die Verwaltungskomponenten
des UDC 200 vor Eindringungen geschützt sind, die entweder aus
einer externen Quelle stammen, wie z. B. dem der Öffentlichkeit zugewandten
Internet/VPN-Netzwerk 220, den verwalteten Ressourcen 206,
die durch das UDC 200 bereitgestellt sind, oder den Systemen
innerhalb des weniger vertrauenswürdigen Teils der UDC-Verwaltungsinfrastruktur.
Es wird darauf hingewiesen, daß der
Ausdruck „Infrastruktur", wie er bei dieser
Erörterung
von Ausführungsbeispielen
der vorliegenden Erfindung verwendet wird, Computer, Router, Hubs, Schalter,
Kabel, drahtlose Verbindungen, I/O-Vorrichtungen, Software, Betriebssysteme
und eine beliebige andere Hardware- oder Software-implementierte Vorrichtung
oder Funktion umfaßt,
die in dem Aufbau eines physischen oder virtuellen Netzwerks umfaßt ist,
egal ob es sich um ein LAN, WAN, VPN oder eine andere Funktion implementiert
in oder auf Netzwerken handelt.
-
Dieses Ausführungsbeispiel der vorliegenden
Erfindung arbeitet in einer Umgebung, die zwischen drei Vertrauensdomänen unterscheidet,
die in einer Vertrauenshierarchie eingerichtet sind:
-
- 1. Das Betriebszentrums-LAN (OC-LAN) 205,
wo das nichtkritische UDC und andere operationsbezogene Funktionen
vorliegen. Die Vertrauensebene ist niedriger als das Datenzentrumssteuerungs-LAN 201.
- 2. Das Datenzentrumssteuerungs-LAN 201, wo Aufgaben,
die sich auf die automatisierte Bereitstellung von verwalteten Ressourcen 206 beziehen,
vorliegen. Der Zugriff auf das Datenzentrums-LAN 201 ist
streng eingeschränkt.
- 3. Die Verwaltete-Ressourcen-LANs, wo die verwalteten Ressourcen 206 vorliegen.
Diese LANs sind üblicherweise
nicht vertrauenswürdig.
-
Es wird hier darauf hingewiesen,
daß Klienten
des UDC von außerhalb
der vertrauenswürdigen Struktur
stammen und auf Elemente des UDC über das Internet oder ein virtuelles
privates Netzwerk (VPN), das in der Internetinfrastruktur vorliegt,
zugreifen.
-
Wie in 2 gezeigt
ist, werden NIDS-Sonden 225 um die Firewalls 202 und 204 verwendet,
die Eintritt/Austritt in/aus dem Datenzentrumssteuerungs-LAN 201 liefern.
Sonden 225 werden ebenfalls um die Ressourcenverwalter 203 eingesetzt,
die als ein Gateway zwischen den verwalteten Ressourcen und dem
Datenzentrumssteuerungs-LAN 201 wirken.
-
Die Sonden 225 senden Warnmeldungen
an den NIDS-Verwalter 211. Als Teil der initiierten Antwort
auf eine Warnmeldung ist der NIDS-Verwalter 211 konfiguriert,
um die Priorität
von jeder Warnung abhängig
von sowohl der Sonde, die die Warnung erfaßt hat, und dem Typ der Warnung,
der erfaßt
wurde, zu erhöhen
oder zu senken.
-
Der NIDS-Verwalter 211 sendet
wiederum seine Höchste-Priorität-Warnungen
zu einem Warnungsbildschirm, der in dem Betriebszentrums-LAN 205 angeordnet
ist. Nicht gezeigt in 2 aber auf jedem
Computersystem in dem Betriebszentrum 205 und den Datenzentrumssteuerungs-LANs 210 ist eine
Hosteindringungserfassungssystem-Software (HIDS-Software).
-
Das HIDS-System wird auf die Funktionen abgestimmt
oder konfiguriert, die durch jedes System bereitgestellt werden,
um die Anzahl von falschen Eindringwarnungen zu minimieren. Warnungen
werden zu dem Ereignismonitor gesendet, der in dem Betriebszentrum 205 vorliegt.
Warnungen werden ferner zu einem HIDS-Verwalter gesendet, der auf dem
selben System vorliegt wie der Ereignismonitor.
-
Der Ereignismonitor, der in dem OC 205 vorliegt,
erfaßt
Ereignisse von sowohl dem HIDS- als auch dem NIDS-System und von
der Firewall 210, die zwischen dem Betriebszentrum und
dem externen VPN-Netzwerk oder dem Internet verwendet wird. Eine
optionale NIDS-Sonde oder ein Satz von Sonden kann zwischen dieser
Firewall 210 und dem Betriebszentrum-LAN 205 eingesetzt werden.
Der Ereignismonitor kann Ereignisse sowohl von dem HIDS- als auch
von dem NIDS-System reduzieren und korrelieren.
-
Jedes der Systeme bei diesem Ausführungsbeispiel
der vorliegenden Erfindung und die NIDS-Sonden weisen ihr Softwarebetriebssystem geschützt durch
die „Verriegelungs"-Software auf, die in dieser Erörterung
von Ausführungsbeispielen
der vorliegenden Erfindung derart vorgelegt wird, daß es schwieriger
gemacht wird, unautorisierten Zugriff auf dieselben zu erhalten.
Wie oben erörtert
wurde, wird die Verriegelungssoftwarekonfiguration für die individuellen
Systeme maßgeschneidert.
-
Ausführungsbeispiele der vorliegenden
Erfindung ermöglichen
eine zweckmäßige Verwaltungsvorrichtung,
dadurch, daß HIDS- und NIDS-Ereignisse
und -Warnungen für
ein UDC 200 in einem einzelnen Browser angezeigt werden,
der für
die UDC-Verwaltung
verfügbar
ist.
-
HIDS- und NIDS-Konfigurationen können für ein UDC
kundenspezifisch eingerichtet werden. Das Ausführungsbeispiel der vorliegenden
Erfindung, das hier erörtert
wird, integriert eine Technik, die von Datenkommunikationsschalter-Verkäufern, Datenkommunikationsfirewall-Verkäufern, Dateneindringungserfassungssoftware-Verkäufern, Hosteindringungserfassungssoftware-Verkäufern und
Betriebssystemverriegelungssoftware bereitgestellt werden kann. Sowohl
HIDS als auch NIDS werden für
ein UDC bereitgestellt.
-
Die Softwarekomponenten von Ausführungsbeispielen
der vorliegenden Erfindung laufen auf Computern. Eine Konfiguration,
die für
ein generisches Computersystem typisch ist, ist in 3 in Blockdiagrammform
dargestellt. Der generische Computer 300 ist durch einen
Prozessor 301, der elektronisch durch einen Bus 350 mit
einem flüchtigen
Speicher 302, einem nichtflüchtigen
Speicher 303, möglicherweise
einer Form einer Datenspeicherungsvorrichtung 304 und einer
Anzeigevorrichtung 305, verbunden ist, charakterisiert.
Es wird darauf hingewiesen, daß die
Anzeigevorrichtung 305 in unterschiedlichen Formen implementiert
sein kann. Während
ein Video-CRT- oder LCD-Bildschirm üblich ist, kann dieses Ausführungsbeispiel
mit anderen Vorrichtungen oder möglicherweise
keiner Vorrichtung implementiert sein. Die Systemverwaltung ist mit
diesem Ausführungsbeispiel
der vorliegenden Erfindung in der Lage, die momentane Anordnung
der Einrichtung zum Ausgeben von Warnflags zu bestimmen, und die
Anordnung ist nicht auf die physische Vorrichtung beschränkt, in
der dieses Ausführungsbeispiel
der vorliegenden Erfindung vorliegt.
-
Auf ähnliche Weise sind eine mögliche alphanumerische
Eingabevorrichtung 306, eine Cursorsteuerung 307 und
eine Kommunikations-I/O-Vorrichtung 308 über einen
Bus 350 verbunden. Eine alphanumerische Eingabevorrichtung 306 kann
als eine Anzahl von möglichen
Vorrichtungen implementiert sein, ist jedoch üblicherweise als eine Tastatur implementiert.
Ausführungsbeispiele
der vorliegenden Erfindung können
jedoch in Systemen betrieben werden, in denen eine Eindringungserfassung
entfernt von einer Systemverwaltungsvorrichtung angeordnet ist,
was den Bedarf nach einer direkt verbundenen Anzeigevorrichtung
und nach einer alphanumerischen Eingabevorrichtung offensichtlich
macht. Auf ähnliche
Weise basiert die Verwendung einer Cursorsteuerung 307 auf
der Verwendung einer graphischen Anzeigevorrichtung 305.
Die Kommunikations-I/O-Vorrichtung 308 kann als ein breiter
Bereich von möglichen
Vorrichtungen implementiert sein, einschließlich einer seriellen Verbindung,
eines USB, eines Infrarot-Sende-Empfangs-Geräts, eines Netzwerkadapters
oder eines HF-Sende-Empfangs-Geräts.
-
Die Konfiguration der Vorrichtungen,
in denen dieses Ausführungsbeispiel
der vorliegenden Erfindung vorliegt, kann ohne Auswirkung auf die
hierin vorgelegten Konzepte variieren. Die Flexibilität des UDC-Konzepts
liefert eine grenzenlose Vielzahl von möglichen Hardwarevorrichtungs-
und Zwischenverbindungs-Kombinationen, bei denen Ausführungsbeispiele
der vorliegenden Erfindung bereitgestellt werden können.
-
Diese Beschreibung von Ausführungsbeispielen
der vorliegenden Erfindung schafft eine Methode zum Bereitstellen
von Sicherheit für
die Eindringungserfassungssystemsensoren in einem bereitstellbaren
Datenzentrum, derart, daß die
Verwaltungskomponenten des Datenzentrums vor Eindringungen geschützt sind,
die entweder von einer externen Quelle stammen, wie z. B. dem der Öffentlichkeit zugewandten
Internet/VPN-Netzwerk, den verwalteten Ressourcen, die durch das
UDC bereitgestellt sind, oder den Systemen innerhalb eines weniger vertrauenswürdigen Teils
der UDC-Verwaltungsinfrastruktur.
Während
die Host- und Netzwerk-IDS-Senosren
das Datenzentrum schützen,
schützen
Ausführungsbeispiele
der vorliegenden Erfindungen die Sensoren selbst vor Angreifern,
die nicht möchten, daß ihre verdächtige Netzwerkaktivität erfaßt wird; eine
Aktivität,
die zu einem Kompromiß aus
System- oder Netzwerk-Vertraulichkeit, -Integrität oder -Verfügbarkeit
führen
könnte.